ป้องกันการเข้าถึง SSH โดยใช้ Spiped บน OpenBSD

เนื่องจากการเข้าถึง SSH เป็นจุดเริ่มต้นที่สำคัญที่สุดสำหรับการจัดการเซิร์ฟเวอร์ของคุณมันจึงกลายเป็นเวคเตอร์การโจมตีที่ใช้กันอย่างแพร่หลาย

ขั้นตอนพื้นฐานในการรักษาความปลอดภัย SSH รวมถึง: ปิดใช้งานการเข้าถึงรูท, ปิดการตรวจสอบสิทธิ์รหัสผ่านทั้งหมด (และใช้กุญแจแทน) และเปลี่ยนพอร์ต (ทำเพียงเล็กน้อยเกี่ยวกับความปลอดภัยยกเว้นการสแกนพอร์ตทั่วไปและบันทึกสแปมน้อยที่สุด)

ขั้นตอนต่อไปจะเป็นโซลูชันไฟร์วอลล์ PF ที่มีการติดตามการเชื่อมต่อ โซลูชันนี้จะจัดการสถานะการเชื่อมต่อและบล็อก IP ใด ๆ ที่มีการเชื่อมต่อมากเกินไป วิธีนี้ใช้งานได้ดีและทำได้ง่ายมากกับ PF แต่ภูต SSH ยังคงปรากฏต่ออินเทอร์เน็ต

วิธีการทำให้ SSH ไม่สามารถเข้าถึงได้จากภายนอกอย่างสมบูรณ์? นี่คือที่มาspipedจากหน้าแรก:

Spiped (ออกเสียงว่า "ess-pipe-dee") เป็นยูทิลิตี้สำหรับการสร้างไพพ์ที่เข้ารหัสและรับรองความถูกต้องระหว่างที่อยู่ซ็อกเก็ตเพื่อให้หนึ่งอาจเชื่อมต่อกับที่อยู่หนึ่ง (เช่นซ็อกเก็ต UNIX บน localhost) และโปร่งใส address (เช่นซ็อกเก็ต UNIX ในระบบอื่น) สิ่งนี้คล้ายกับฟังก์ชั่น 'ssh -L' แต่ไม่ได้ใช้ SSH และต้องการคีย์สมมาตรที่แชร์ล่วงหน้า

ที่ดี! โชคดีสำหรับเรามันมีแพ็คเกจ OpenBSD ที่มีคุณภาพสูงซึ่งทำงานได้ทั้งหมดสำหรับเราดังนั้นเราจึงสามารถเริ่มต้นด้วยการติดตั้ง:

sudo pkg_add spiped

สิ่งนี้จะติดตั้งสคริปต์เริ่มต้นที่ดีสำหรับเราเพื่อให้เราสามารถดำเนินการต่อและเปิดใช้งาน:

sudo rcctl enable spiped

และในที่สุดก็เริ่ม:

sudo rcctl start spiped

สคริปต์เริ่มต้นทำให้แน่ใจว่ารหัสถูกสร้างขึ้นสำหรับเรา (ซึ่งเราจะต้องใช้กับเครื่องท้องถิ่นในระยะเวลาอันสั้น)

สิ่งที่เราต้องทำตอนนี้คือการปิดการใช้งานsshdจากการฟังที่อยู่สาธารณะบล็อกพอร์ต 22 และอนุญาตพอร์ต 8022 (ซึ่งโดยค่าเริ่มต้นจะใช้ในสคริปต์ init แบบ spiped)

เปิด/etc/ssh/sshd_configไฟล์และเปลี่ยน (และยกเลิกหมายเหตุ) ListenAddressบรรทัดที่จะอ่าน127.0.0.1:

ListenAddress 127.0.0.1

หากคุณใช้กฎ PF สำหรับการบล็อกพอร์ตตรวจสอบให้แน่ใจว่าผ่านพอร์ต 8022 (และคุณสามารถปล่อยให้พอร์ต 22 ถูกบล็อก) เช่น:

pass in on egress proto tcp from any to any port 8022

ตรวจสอบให้แน่ใจว่าได้โหลดกฎเพื่อให้ใช้งานได้:

sudo pfctl -f /etc/pf.conf

ตอนนี้สิ่งที่เราต้องทำก็คือคัดลอกรหัส spiped ที่สร้างขึ้น ( /etc/spiped/spiped.key) จากเซิร์ฟเวอร์ไปยังเครื่องท้องถิ่นและปรับการกำหนดค่า SSH ของเราบางอย่างตามบรรทัดต่อไปนี้:

Host HOSTNAME
ProxyCommand spipe -t %h:8022 -k ~/.ssh/spiped.key

คุณต้องspipe/spipedติดตั้งในเครื่องท้องถิ่นด้วยเช่นกัน หากคุณคัดลอกคีย์และปรับชื่อ / พา ธ คุณควรจะสามารถเชื่อมต่อกับProxyCommandบรรทัดนั้นใน~/.ssh/configไฟล์ของคุณได้

หลังจากคุณยืนยันว่าใช้งานได้เราสามารถรีสตาร์ทsshdเซิร์ฟเวอร์:

sudo rcctl restart sshd

และนั่นมัน! ในตอนนี้คุณได้กำจัดเวกเตอร์การโจมตีขนาดใหญ่หนึ่งรายการอย่างสมบูรณ์และคุณมีการฟังการบริการที่น้อยลงบนส่วนต่อประสานสาธารณะ ตอนนี้การเชื่อมต่อ SSH ของคุณควรมาจาก localhost เช่น:

username    ttyp0    localhost                Thu Nov 06 07:58   still logged in

ข้อดีของการใช้ Vultr ก็คือ Vultr VPS แต่ละตัวเสนอไคลเอนต์ VNC แบบออนไลน์ที่ดีซึ่งเราสามารถใช้ในกรณีที่เราปิดกั้นตัวเองโดยไม่ตั้งใจ ทดลองออกไป!



Leave a Comment

ReactOS: นี่คืออนาคตของ Windows หรือไม่?

ReactOS: นี่คืออนาคตของ Windows หรือไม่?

ReactOS ซึ่งเป็นโอเพ่นซอร์สและระบบปฏิบัติการฟรีพร้อมเวอร์ชันล่าสุดแล้ว สามารถตอบสนองความต้องการของผู้ใช้ Windows ยุคใหม่และล้ม Microsoft ได้หรือไม่? มาหาข้อมูลเพิ่มเติมเกี่ยวกับรูปแบบเก่านี้ แต่เป็นประสบการณ์ OS ที่ใหม่กว่ากัน

AI สามารถต่อสู้กับการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นได้หรือไม่

AI สามารถต่อสู้กับการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นได้หรือไม่

การโจมตีของ Ransomware กำลังเพิ่มขึ้น แต่ AI สามารถช่วยจัดการกับไวรัสคอมพิวเตอร์ตัวล่าสุดได้หรือไม่? AI คือคำตอบ? อ่านที่นี่รู้ว่า AI boone หรือ bane

เชื่อมต่อผ่าน WhatsApp Desktop App 24*7

เชื่อมต่อผ่าน WhatsApp Desktop App 24*7

ในที่สุด Whatsapp ก็เปิดตัวแอพเดสก์ท็อปสำหรับผู้ใช้ Mac และ Windows ตอนนี้คุณสามารถเข้าถึง Whatsapp จาก Windows หรือ Mac ได้อย่างง่ายดาย ใช้ได้กับ Windows 8+ และ Mac OS 10.9+

AI จะนำกระบวนการอัตโนมัติไปสู่อีกระดับได้อย่างไร

AI จะนำกระบวนการอัตโนมัติไปสู่อีกระดับได้อย่างไร

อ่านข้อมูลนี้เพื่อทราบว่าปัญญาประดิษฐ์กำลังได้รับความนิยมในหมู่บริษัทขนาดเล็กอย่างไร และเพิ่มโอกาสในการทำให้พวกเขาเติบโตและทำให้คู่แข่งได้เปรียบ

การอัปเดตเสริม macOS Catalina 10.15.4 ทำให้เกิดปัญหามากกว่าการแก้ปัญหา

การอัปเดตเสริม macOS Catalina 10.15.4 ทำให้เกิดปัญหามากกว่าการแก้ปัญหา

เมื่อเร็ว ๆ นี้ Apple เปิดตัว macOS Catalina 10.15.4 การอัปเดตเสริมเพื่อแก้ไขปัญหา แต่ดูเหมือนว่าการอัปเดตทำให้เกิดปัญหามากขึ้นที่นำไปสู่การสร้างเครื่อง Mac อ่านบทความนี้เพื่อเรียนรู้เพิ่มเติม

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

ระบบไฟล์บันทึกคืออะไรและทำงานอย่างไร

ระบบไฟล์บันทึกคืออะไรและทำงานอย่างไร

คอมพิวเตอร์ของเราจัดเก็บข้อมูลทั้งหมดในลักษณะที่เรียกว่าระบบไฟล์บันทึก เป็นวิธีการที่มีประสิทธิภาพที่ช่วยให้คอมพิวเตอร์สามารถค้นหาและแสดงไฟล์ได้ทันทีที่คุณกดค้นหาhttps://wethegeek.com/?p=94116&preview=true

ภาวะเอกฐานทางเทคโนโลยี: อนาคตอันห่างไกลของอารยธรรมมนุษย์?

ภาวะเอกฐานทางเทคโนโลยี: อนาคตอันห่างไกลของอารยธรรมมนุษย์?

ในขณะที่วิทยาศาสตร์มีวิวัฒนาการไปอย่างรวดเร็ว โดยรับช่วงต่อความพยายามของเราอย่างมาก ความเสี่ยงในการทำให้ตัวเองตกอยู่ในภาวะภาวะเอกฐานที่อธิบายไม่ได้ก็เพิ่มขึ้นเช่นกัน อ่านว่าภาวะเอกฐานอาจมีความหมายสำหรับเราอย่างไร

ข้อมูลเชิงลึกเกี่ยวกับ 26 เทคนิคการวิเคราะห์ข้อมูลขนาดใหญ่: ตอนที่ 1

ข้อมูลเชิงลึกเกี่ยวกับ 26 เทคนิคการวิเคราะห์ข้อมูลขนาดใหญ่: ตอนที่ 1

ข้อมูลเชิงลึกเกี่ยวกับ 26 เทคนิคการวิเคราะห์ข้อมูลขนาดใหญ่: ตอนที่ 1

ผลกระทบของปัญญาประดิษฐ์ในการดูแลสุขภาพ 2021

ผลกระทบของปัญญาประดิษฐ์ในการดูแลสุขภาพ 2021

AI ในการดูแลสุขภาพได้ก้าวกระโดดอย่างมากจากทศวรรษที่ผ่านมา ดังนั้นอนาคตของ AI ในการดูแลสุขภาพจึงยังคงเติบโตทุกวัน